Sanktionen nach Datenschutzverletzung So werden Bußgelder nach DSGVO berechnet

Anbieter zum Thema

FTAPI Software GmbH

Insider Research

valvisio international AG

Die Schlagzeilen über Bußgelder nach einer Datenpanne reißen nicht ab. Auch in Deutschland verhängen die Aufsichtsbehörden hohe Bußgelder nach DSGVO. Doch die genaue Höhe der Bußgelder mag überraschen. Wie berechnen die Aufsichtsbehörden eigentlich die Bußgeldhöhe? Und was kann man tun, um das Bußgeld so gering wie möglich zu halten? Neue, einheitliche Regeln liefen Einblicke.

Ohne Frage gehören die hohen Bußgelder zu den Gründen, warum der Datenschutz mit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) nochmals deutlich an Gewicht gewonnen hat, wenn es um die Bewertung von Risiken in einem Unternehmen geht.

DSGVO im Blick behalten

Die größten Datenpannen im Jahr 2022

Wenn man sich Beispiele für Bußgelder ansieht, die deutsche Datenschutzaufsichtsbehörden in den letzten Monaten und Jahren verhängt haben, findet man mehrere Sanktionen, die sehr spürbar für die betroffenen Unternehmen waren: 900.000 Euro Bußgeld gegen ein Kreditinstitut wegen Profilbildung zu Werbezwecken, 1,1 Millionen Euro Bußgeld gegen Volkswagen wegen Datenschutzverstößen im Rahmen von Forschungsfahrten, 1,9 Millionen Euro gegen die die Brebau GmbH, alles Beträge, die niemand „in der Portokasse“ hätte.

Aber es ist gewollt, dass die Bußgelder spürbar sind. So sagt die DSGVO: Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

DSGVO nennt keine genauen Formeln

Wie aber kommt es zu den genauen Beträgen für die Geldbußen? Anders als zum Beispiel in der Straßenverkehrsordnung gibt es keinen Bußgeldkatalog in der DSGVO, in dem man nachschauen kann, was beispielsweise die Sanktion sein könnte, wenn eine Ransowmare-Attacke Erfolg hat und keine Backups zur Wiederherstellung der personenbezogenen Daten vorhanden sind.

Stattdessen sagen die sogenannten Erwägungsgründe zur DSGVO: Die Geldbußen sind von der zuständigen Aufsichtsbehörde in jedem Einzelfall festzusetzen, unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus der DSGVO erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern.

Es findet also jedes Mal eine Einzelfallprüfung statt.

Wie die Aufsichtsbehörden die Bußgeldhöhen begründen

Es ist instruktiv zu lesen, wie die verschiedenen Aufsichtsbehörden jeweils die Höhe des verhängten Bußgeldes erläutern. Das bietet nicht nur Einblicke in Prozesse und Entscheidungen bei den Datenschutzaufsichtsbehörden, sondern es zeigt auch, was sich konkret mindernd auf die Bußgeldhöhe nach DSGVO auswirken kann.

Bei dem Kreditinstitut, das Profile zu Werbezwecken erstellt hatte, wirkte sich laut Aufsichtsbehörde auf das Bußgeld mindernd aus, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet habe. Zudem habe sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.

Im Fall der Forschungsfahrten von Volkswagen waren vier Verstöße mit jeweils niedrigem Schweregrad Gegenstand des Bußgeldbescheides. Volkswagen hatte die Mängel, die in keinem Bezug zu Serienfahrzeugen standen, im Rahmen des vorangegangenen Prüfverfahrens unverzüglich abgestellt. „Die eigentlichen Forschungsfahrten waren datenschutzrechtlich nicht zu beanstanden“, sagte die Landesdatenschutzbeauftragte von Niedersachsen Barbara Thiel. „Gegen die dabei anfallende Erhebung und Weiterverarbeitung personenbezogener Daten bestehen von unserer Seite keine Bedenken.“ Berücksichtigt wurde dabei insbesondere, dass die Verarbeitung dazu diente, ein Fahrassistenzsystem zur Verhinderung von Unfällen zu optimieren und so die Sicherheit im Straßenverkehr zu erhöhen.

Die nach Artikel 83 DSGVO verhängte Geldbuße gegen die Brebau GmbH belief sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen, so die bremische Landesbeauftragte für Datenschutz und Informationsfreiheit. Weil das Unternehmen aber im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Es zeigt sich also, dass Kooperation mit der Aufsichtsbehörde, eigene Gegenmaßnahmen und Aufklärungsarbeit und umgehende Einstellung des bemängelten Verfahrens die Höhe des Bußgeldes beeinflussen können. Wie aber rechnen nun die Datenschutzaufsichtsbehörden genau?

Einheitliche Regeln für die Bußgeldzumessung

Es gibt inzwischen einheitliche Leitlinien zur Bußgeldzumessung des Europäischen Datenschutzausschusses (EDSA). Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben, so die Repräsentantinnen und Repräsentanten der deutschen Datenschutzaufsicht.

Die Leitlinien sehen ein aus fünf Schritten bestehendes Zumessungsverfahren vor, dass insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), erklärte: „Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter. Das Fünf-Schritte-Verfahren gibt klare Regeln für die Zumessung von Geldbußen vor und trägt somit zu einem nachvollziehbareren Verwaltungshandeln bei.“

Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), ergänzte: „Mithin wird nun die erforderliche Transparenz der Bußzumessung gewährleistet, die der immensen Höhe der Bußgelder Rechnung trägt.“

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), fasst zusammen: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“

Der Prozess der Bußgeldbestimmung

Wie die Leitlinien zeigen, gehen die Aufsichtsbehörden so vor: Die Verarbeitungsvorgänge, die bemängelt werden, werden identifiziert. Eine Bewertung der Einstufung des Verstoßes in der DSGVO, eine Beurteilung der Schwere des Verstoßes im Hinblick auf die Umstände des Einzelfalls und eine Bewertung des Umsatzes des Unternehmens finden statt. Dann werden erschwerende und mildernde Umstände im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters beurteilt, mit entsprechender Erhöhung oder Herabsetzung der Geldbuße. Eine vorgenommene Erhöhung darf den Höchstbetrag nach DSGVO aber nicht überschreiten. Abschließend wird geprüft, ob der berechnete Endbetrag den Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit genügt. Das Bußgeld kann weiterhin entsprechend angepasst werden, jedoch ohne die jeweilige gesetzliche Höchstgrenze zu überschreiten.

Offensichtlich ist auch das kein Bußgeldkatalog wie in der Straßenverkehrsordnung, doch der Prozess, wie die Aufsichtsbehörden vorgehen wird sichtbar und ist einheitlich in der EU. Nicht zuletzt sollten Unternehmen an die mildernden Umstände denken, die nicht nur die Bußgeldhöhe beeinflussen können.

Vielmehr sind es solche Maßnahmen, die die Bußgeldhöhe senken können, die die Schäden durch den aktuellen Fall der Datenschutzverletzung senken können und die dabei helfen, dies in Zukunft zu vermeiden. Der beste Weg, um Sanktionen nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen, das klingt wie eine Binsenweisheit, sollte aber trotzdem nicht vergessen werden, denn das Ziel ist es ja nicht, Bußgelder klein zu halten, sondern Daten zu schützen.

(ID:49611145)